UNIVERSIDAD RAFAEL LANDÍVAR

CAMPUS DE QUETZALTENANGO
FACULTAD DE CIENCIAS ECONÓMICAS Y EMPRESARIALES
CONTADURÍA PUBLICA Y AUDITORIA
AUDITORIA DE SISTEMAS DE INFORMACIÓN
LICENCIADO KENETH CAJAS

“INVESTIGACIÓN TIPOS DE AUDITORIAS EN SISTEMAS”

MARIA BRAULIA RAMOS URRUTIA 16160-19

QUETZALTENANGO, FEBRERO DE 2023

1. AUDITORIA DE EXPLOTACIÓN

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo:

listados impresos, archivos soportados magnéticamente, órdenes automatizadas para
lanzar o modificar procesos industriales, etc. Para realizar la Explotación informática se
dispone de una materia prima, los Datos, que es necesario transformar, y que se
someten previamente a controles de integridad y calidad. Explotación debe recepcionar
solamente programas fuente, los cuales hayan sido aprobados por desarrollo.

La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema
de Información para asegurar que las mismas se efectúen de forma regular, ordenada y
que satisfagan los requisitos empresariales. El nivel de competencia que existe, hoy en
día, entre las empresas les obliga a tomar decisiones rápidas y acertadas. Es necesario,
para ello el funcionamiento adecuado de los sistemas informáticos (mediante la
incorporación de las nuevas tecnologías) y su continua actualización.

Combinando los nuevos avances tecnológicos con una adecuada organización y una
gestión eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La
auditoría informática periódica es uno de los instrumentos más eficaces con que cuentan
las empresas para asegurar su existencia y superar a sus competidores. La detección
oportuna de las debilidades del sistema permite mejorarlo racionalizando los recursos.

1.1. OBJETIVOS
 Controlar los manuales de instrucciones y procedimientos de explotación.
 Controlar los inicios de los procesos y otra documentación de funcionamiento.
 Revisar la agenda de trabajo.
 Verificar la continuidad del proceso.
 Realizar controles sobre la explotación remota.
  Comprobar que en ningún caso los operadores acceden a documentación de
programas que no sea la exclusiva para su explotación.
2. AUDITORIA DE SISTEMAS

Los datos y la información generada en las empresas a día de hoy son infinitos. La
información que se procesa y trata dentro de una empresa es incalculable. Las
empresas, cada vez en mayor medida, necesitan la tecnología para trabajar, precisando
complejos softwares y equipos informatizados para desarrollar su actividad de manera
optimizada y eficiente. Esa presencia imperante de softwares y tecnología provoca la
necesidad de la auditoría de sistemas.

La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de

informática, así como su utilización, eficiencia y seguridad en la empresa, la cual
procesa la información. Gracias a la auditoría de sistemas como alternativa de control,
seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera
más eficiente y segura, garantizando una adecuada toma de decisiones. Tiene como
principal objetivo validar la integridad de la información y datos almacenados en las
bases de datos de los sistemas de información y su procesamiento. Se trata de uno de
los tipos de auditoría que van más allá del factor económico.

La auditoría de sistemas consiste en:

 La verificación de controles en el procesamiento de la información e instalación de

sistemas, con el objetivo de evaluar su efectividad y presentar también alguna
recomendación y consejo.

 Verificar y juzgar de manera objetiva la información.

 Examen y evaluación de los procesos en cuanto a informatización y trato de datos se

refiere. Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada
proceso y su eficacia y eficiencia.
 3. AUDITORIA DE DESARROLLO DE SOFTWARE

La auditoría informática viene siendo la revisión y completo análisis del servicio

informático ofrecido por la empresa. Una revisión profunda que permite conocer,
supervisar y verificar todos los procesos involucrados con esta área de la organización.

Todas las organizaciones dependen de sus activos profesionales para desempeñar la

actividad laboral, así que su mantenimiento es necesario para que continúen siendo
eficientes y no afecten al rendimiento de la compañía.

En la era digital es primordial que las empresas mantengan sus equipos tecnológicos
actualizados. En este contexto surgen las Auditorías de Software, en un ambiente en el que
no tener los medios tecnológicos actualizados o dentro de la legalidad para poder
desarrollar el trabajo significa quedarse atrás frente a la competencia. Ante este escenario se
pueden destacar las siguientes fases que se desarrollan al realizar una Auditoría de
Software:

 Exploración y planteamiento
En esta etapa se lleva a cabo un estudio previo a la realización de la Auditoría de
Software con el objetivo de conocer detalladamente los rasgos de la empresa a
auditar. Solo así se podrán obtener las características para hacer un planteamiento
del trabajo que se va a desarrollar. Además, se deben conocer datos de la
organización como su estructura, flujo de producción o servicios que presta, así
como otro tipo de antecedentes.
Después, se planean las tareas a desarrollar y se llevan a cabo las comprobaciones
para que se puedan alcanzar los objetivos establecidos en la Auditoría. La
supervisión y el control son esenciales en todas las etapas del trabajo, desde la
exploración hasta el seguimiento final.
 Estudio del soporte lógico de los equipos
La Auditoria de Software se centra en un minucioso análisis sobre el programa de
administración de software que utiliza una empresa. Su finalidad es conocer cómo
se adquiere, distribuye y usa el soporte lógico de un determinado sistema
informático para localizar posibles vulnerabilidades.

Para comprobar si la empresa está realizando una buena gestión de sus activos de
software, la Auditoría evalúa los programas informáticos, revisa el inventario de
software, verifica la seguridad de las bases de datos y de la información corporativa
y controla, de forma periódica, los ficheros que se van generando.

 Informe
En él se detallan los activos de software que la empresa tiene instalados. Revisa si
se está llevando a cabo un uso fraudulento de las licencias de software de los
programas que utiliza la organización. Además, se crean reportes a tiempo real del
estado de los equipos informáticos. En el informe se refleja la evaluación, revisión y
comprobación del funcionamiento de los activos, las bases de datos y los ficheros
generados. Todo ello para prevenir posibles incidencias o interrupciones que
influyan en el rendimiento de los empleados y en su actividad laboral.
 Seguimiento y actualización constante
Gracias a su catálogo de software actualizado con su servidor en la nube, existe una
constante actualización de los sistemas operativos y una mayor eficacia en todas las
funciones de la compañía. Hay que tener en cuenta que solo con una licencia legal,
se proporcionan datos esenciales sobre su coste, mantenimiento y periodo de
titularidad.
4. AUDITORIA DE COMUNICACIONES Y REDES

La auditoría de redes y telecomunicaciones permite conocer el estado actual de los

sistemas de información de un cliente actuando en dos focos como son la de elemento
preventivo que se antepone y precede a posibles problemas y la de informarnos de la
actual situación en la que nos encontramos con el ánimo de visibilizar una constante
evolución de la infraestructura para mejoras tecnológicas, digitalización y, por ende, la
competitividad

Las auditorías de seguridad de redes de comunicación permiten conocer el estado en

que se encuentra la protección de la información dentro de la empresa. Se trata de
realizar una evaluación y análisis de las debilidades existentes en las medidas de
seguridad que la empresa utiliza y los componentes que se dedican a esta función.

Existen diferentes clasificaciones con las que se puede verificar que se cumplen
los requisitos de seguridad necesarios dentro de los dispositivos que estén
interconectados en la empresa.

Tipos de evaluaciones de redes que existen

 Nivel interno o externo

Las revisiones externas son aquellas que se realizan fuera del perímetro de la red,
incluyendo revisión de las reglas de Firewall, configuración de IPS, control de acceso a
los routers.

Por el contrario, las revisiones dentro de la red a nivel interno revisan los protocolos
usados, los servicios desactualizados y la configuración de los segmentos de la red.

 Red cableada o inalámbrica

Si la revisión se realiza sobre redes inalámbricas se evalúan los protocolos de cifrado
entre los puntos de acceso y los dispositivos que se conectan a la red y las llaves de
cifrado.

Si, por el contrario, se trata de una red cableada, habrá que comprobar la vulnerabilidad
de los dispositivos físicos o la suplantación de los puntos de acceso

 Física o lógica

La revisión física está orientada a conocer los mecanismos de protección del cableado a
nivel de hardware. Se puede decir que lo que se hace en comprobar las normas ISO o
ANSI del cableado y la revisión de las conexiones.

Por otro lado, la revisión de seguridad a nivel lógico se basa en verificar y evaluar las
medidas de protección de los procesos y de la información. Por ello, al auditar a nivel
lógico se deben comprobar los mecanismos de control de acceso a la red, los privilegios
de las cuentas con autorización y los protocolos usados.

 Auditoría técnica o de cumplimiento

Las revisiones técnicas incluyen información acerca de los dispositivos y protocolos

utilizados, para identificar y corregir debilidades. Todo esto se hace simulando ataques
en ambientes controlados.

Las empresas no siempre conocen hasta donde llegan sus debilidades y cómo pueden
atajarlas. De ahí viene la finalidad de que existan diferentes tipos y propósitos de la
auditoría de redes de comunicación, pues hay miles de maneras de atacar un sistema.
Ahora ya solo queda la mentalización e implicación de los organismos más altos para
evitar que los ataques empapen negativamente sus negocios y que se pueden evitar
contacto con una empresa de ciberseguridad profesional.
5. AUDITORIA DE SEGURIDAD

La auditoría de seguridad informática es la herramienta principal para poder conocer el

estado de seguridad en que se encuentra una empresa en relación con sus sistemas
informáticos, de comunicación y acceso a internet. Estas auditorías permiten
mejorar los sistemas e incrementar la ciberseguridad, siendo fundamentales para poder
garantizar el funcionamiento del negocio y proteger la integridad de la información que
manejan. 

Una auditoría de seguridad informática es un procedimiento que evalúa el nivel de

seguridad de una empresa o entidad, analizando sus procesos y comprobando si sus
políticas de seguridad se cumplen. 

El principal objetivo de una auditoría de seguridad es el de detectar las vulnerabilidades

y debilidades de seguridad que pueden ser utilizadas por terceros malintencionados para
robar información, impedir el funcionamiento de sistemas, o en general, causar daños a
la empresa. 

Realizar una auditoría de seguridad no es solo responsabilidad de grandes empresas y

corporaciones. Hoy en día cualquier tipo de empresa depende de elementos y
dispositivos tecnológicos para poder realizar sus procesos de negocio, por lo que es
necesario que evalúe de forma periódica su seguridad. Las principales ventajas que
aporta el realizar una auditoría de seguridad en una empresa son: 

 Mejora los controles internos de seguridad de la empresa. 

 Detecta debilidades en los sistemas de seguridad como errores, omisiones o fallos. 

 Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados o robos a

nivel interno). 
 Ayuda a eliminar los puntos débiles de la empresa en cuestión de seguridad (webs,
correo electrónico o accesos remotos, por ejemplo). 

 Permite controlar los accesos, tanto físicos como virtuales (revisión de privilegios
de acceso). 

 Permite mantener sistemas y herramientas actualizadas. 

Cuáles son los tipos de auditorías de seguridad informática 

Existen distintos tipos de auditorías informáticas dependiendo del objetivo de estas,

como auditorías forenses, técnicas, de cumplimiento de normativas o de test de
intrusión, entre otras.  Las auditorías de seguridad pueden dividirse en: 

 Auditorías internas y externas 

Dependiendo de quién realice la auditoría se denominan internas, cuando son realizadas

por personal de la propia empresa (aunque pueden tener apoyo o asesoramiento
externo) o externas, cuando se realizan por empresas externas que son independientes
de la empresa. 

 Auditorías técnicas 

Son aquellas auditorías cuyo objetivo se centra en una parte concreta o acotada de un
sistema informático. Entre estas auditorías podemos encontrar las de cumplimiento de
normativas que tienen como objetivo verificar si algún estándar de seguridad se cumple
(como la validación de sistemas informatizados en la industria regulada), o si las
políticas y protocolos de seguridad se están realizando de forma apropiada. 

6. AUDITORIA DE SISTEMAS OPERATIVOS

Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento
de software de sistemas operativos. Para lo cual el auditor revisa lo siguiente:

Los procedimientos relacionados con la identificación y la selección del software

del sistema. Mediante entrevistas a la gerencia, para identificar:
 Los requerimientos de software.
 Las fuentes potenciales de software.
Análisis de costo/beneficio del software del sistema, consiste en revisar la
documentación del análisis costo/beneficio y las alternativas que proponen y
determinan si cada alternativa potencial fue evaluada adecuadamente. Esta
documentación debe tener por lo menos:
 Costo directo financiado para la compra de software.
 Costo de la modificación necesaria para adaptar el software al ambiente de sistemas
de información de la organización (si fuera necesario).
 Los requisitos de equipo para ese software.
 Los requisitos de capacitación asociados con la utilización de ese software.
 Los requisitos de apoyo técnico asociado a ese software.
 Análisis de las facilidades del software para cumplir con los requisitos de
procesamiento de información.
 Análisis de la capacidad del software para cumplir con los requisitos de seguridad.
 Análisis de la capacidad del software para cumplir con los requisitos técnicos de la
organización.
Instalación del software del sistema, Consiste en revisar el plan o procedimiento
para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo con
ese plan y en forma exitosa, de no ser así investigar si todos los problemas se
evaluaron y resolvieron antes de la instalación del software.

Mantenimiento del software del sistema, consiste en revisar la documentación

relacionada con el mantenimiento o upgrade del software y determinar lo siguiente:

 Si los estándares de instalación están de acuerdo con la documentación del

mantenimiento del software.
 Si los cambios en el software del sistema están debidamente explicados en cuanto a
su motivo y aprobación.
 Seguridad del software del sistema, consiste en revisar los procedimientos para el
acceso al software del sistema y a su documentación, para esto entrevistarse con la
gerencia de o personal de adecuado para identificar los procedimientos de seguridad
para restringir el acceso al software del sistema, así como el personal que tiene
acceso al software del sistema y a su documentación.

7. AUDITORIA DE GOBIERNO DE TI

La gobernabilidad de la Tecnología de Información (TI) es responsabilidad de los

ejecutivos y del consejo de dirección, y su objetivo es brindar una certeza razonable
de que el área de TI sostiene las estrategias y metas organizacionales. Para muchas
organizaciones, sus activos más valiosos son la información y la tecnología, aunque
con frecuencia son poco entendidos. Sin embargo, las empresas exitosas reconocen
los beneficios de la TI y la utilizan para generar valor a sus interesados
(stakeholders, quienes son cualquier grupo o individuo que puede afectar o ser
afectado por el logro de los objetivos de una organización

pero, más allá del valor, estas empresas también entienden y administran los riesgos
asociados a la falta de alineamiento entre la tecnología y el negocio, el
incumplimiento de aspectos regulatorios, o la administración de inversiones y
recursos de TI, aspectos que se entienden ahora como elementos clave del gobierno
de la empresa: el valor, el riesgo y el control constituyen la esencia del gobierno de
TI.

Gobierno de TI como parte vital del gobierno corporativo

Los aspectos éticos, la toma de decisiones y las prácticas en general, dentro de una
organización deben fomentarse por medio del gobierno corporativo, entendiendo
que éste se define como un comportamiento corporativo ético, por parte de los
directivos u otros encargados de la gestión de la empresa, para la creación y entrega
 de valor a todas las partes interesadas. Es decir, que los altos mandos se apeguen a
las mejores prácticas con base en criterios éticos al momento de tomar decisiones y
manejar la información de sus empresas.

8. AUDITORIA DE BLOCKCHAIN

El blockchain es un conjunto de protocolos que permiten a las entidades almacenar y

compartir información transaccional de forma controlada y sistemática. Se trata de una
especie de libro de contabilidad distribuido que permite que los activos digitales se
procesen de manera inmutable en tiempo real.

Una cadena de bloques, o blockchain, es también un registro, o libro mayor, de eventos

digitales organizados en bloques cronológicos, mismos están cifrados y “distribuidos”
entre muchas partes diferentes. Solo se puede actualizar por consenso de la mayoría de
los participantes en el sistema. Una vez ingresada, la información se asegura utilizando
la criptografía para preservar la integridad de los datos.

La cadena de bloques contiene un registro determinado y verificable de cada

transacción realizada. Tres tecnologías deben unirse para sentar las bases de blockchain
y abordar este desafío:

Peer-to-peer network: Todos los pares en la red son un servidor y un cliente que
suministran y consumen recursos. Esto permite la facilitación de un libro mayor
distribuido sin un tercero central privilegiado.

Asymmetric key cryptography: Un método para verificar la identidad digital con un alto
grado de confianza, habilitado por el uso de claves privadas y públicas.

Consensus mechanisms: Un proceso utilizado para lograr un acuerdo entre procesos o

sistemas distribuidos. Estos están diseñados para lograr confiabilidad en una red que
involucra múltiples nodos1 no confiables.
Desde un punto de vista objetivo, independiente y estratégico, que la auditoría interna
entienda el por qué la organización va a incursionar en una nueva tecnología como
blockchain o cualquier otra y que procesos se verán impactados. Esto permitirá que de
forma preventiva la auditoría se vaya alineando y ajustando a la nueva forma en que
realizará sus servicios de asesoría y aseguramiento.

9. AUDITORIA DE ADQUISICIÓN (COMPRAS) DE PROYECTOS DE TI

La adquisición de software hoy en día es una de las principales estrategias que adoptan
las organizaciones. En lo relacionado a las tecnologías de Información (TI) el índice de
fracaso en cuanto a proyectos de software sobrepasa el 50%.

En toda empresa existen normas y procedimientos que establecen cómo se ha de

proceder en determinadas ocasiones o cual es el método operativo para un proceso o
para realizar una actividad específica. Las empresas deben tener todos estos
procedimientos claros para la ejecución de un proceso que permita la producción de un
bien o servicio, para ello han de formular políticas de acuerdo a su misión, visión, metas
y objetivos y han de crear planes estratégicos apropiados, acordes con los objetivos. Sin
embargo, esto no es suficiente si no se establece una herramienta que permita evaluar si
las acciones de la organización están de acuerdo con los criterios y parámetros
establecidos, tarea que corresponde a la auditoría de gestión específicamente. La
auditoría de gestión es un examen realizado con el fin de proporcionar información
sobre los niveles de eficiencia, eficacia y calidad en los procesos de una organización,
área o unidad específica de ésta. Para poder llevarse a cabo es necesario que se cuente
con una visión, misión, objetivos, metas, políticas y estrategias para poder medir
resultados y evaluar su gestión en los términos ya indicados
10. EJEMPLO AUDITORIA

Ejemplo de auditoría de sistemas Auditoria de hardware y software en estaciones de

trabajo.
2. ING. SISTEMAS Y CONTADURÍA PÚBLICA. - 3. ING. SISTEMAS Y
CONTADURÍA PÚBLICA. - 3 - Alcance La auditoría se realizará sobre los
sistemas informáticos en computadoras personales que estén conectados a la red
interna de la empresa. Objetivo Tener un panorama actualizado de los sistemas de
información en cuanto a la seguridad física, las políticas de utilización, transferencia
de datos y seguridad de los activos. Recursos El número de personas que integraran
el equipo de auditoria será de tres, con un tiempo máximo de ejecución de 3 a 4
semanas. Etapas de trabajo 1. recopilación de información básica Una semana antes
del comienzo de la auditoria se envía un cuestionario a los gerentes o responsables
de las distintas áreas de la empresa. El objetivo de este cuestionario es saber los
equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de
distribuir este cuestionario a los distintos empleados con acceso a los computadores,
para que también lo completen. De esta manera, se obtendrá una visión más global
del sistema. Es importante también reconocer y entrevistarse con los responsables
del área de sistemas de la empresa para conocer con mayor profundidad del
hardware y software utilizado

Se evaluará la forma de adquisición de nuevos equipos o aplicativos de software.

Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los
estándares de la empresa y los requerimientos mínimos para ejecutar los programas
base. Dentro de los riesgos posibles, también se contemplarán huecos de seguridad
del propio software y la correcta configuración y/o actualización de los equipos
críticos como el cortafuegos. Los riesgos potenciales se pueden presentar de la más
diversa variedad de formas. 3. Objetivos de control Se evaluarán la existencia y la
aplicación correcta de las políticas de seguridad, emergencia y disaster recovery de
la empresa. Se hará una revisión de los manuales de política de la empresa, que los
procedimientos de estos se encuentren actualizados y que sean claros y que el
personal los comprenda. Debe existir en la Empresa un programa de seguridad, para
la evaluación de los riesgos que puedan existir, respecto a la seguridad del
mantenimiento de los equipos, programas y datos.

Obtención de los resultados. En esta etapa se obtendrán los resultados que surjan de
la aplicación de los procedimientos de control y las pruebas realizadas a fin de
poder determinar si se cumple o no con los objetivos de control antes definidos. Los
datos obtenidos se registrarán en planillas realizadas a medida para cada
procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo
de facilitar la interpretación de estos y evitar interpretaciones erróneas. 7.
Conclusiones y Comentarios